Grafický správce balíčků Myrlyn pro SUSE a openSUSE, původně YQPkg, dospěl do stabilní verze 1.0.0. Postaven je nad libzypp a Qt 6. Projekt začal na SUSE Hack Weeku 24.
Vývojáři se podařilo vytvořit patch pro Wine, díky kterému je možné na linuxovém stroji nainstalovat a spustit Adobe Photoshop (testováno s verzemi Photoshopu PS2021 a PS2025). Dalším patchem se podařilo umožnit dokonce instalaci téměř celého Adobe Creative Cloud Collection 2023, vyjma aplikací Adobe XD a Adobe Fresco. Patch řeší kompatibilitu s windowsovými subsystémy MSHTML - jádrem prohlížeče Internet exporer, a MSXML3 - parserem
… více »Hackeři zaútočili na portál veřejných zakázek a vyřadili ho z provozu. Systém, ve kterém musí být ze zákona sdíleny informace o veřejných zakázkách, se ministerstvo pro místní rozvoj (MMR) nyní pokouší co nejdříve zprovoznit. Úřad o tom informoval na svém webu a na sociálních sítích. Portál slouží pro sdílení informací mezi zadavateli a dodavateli veřejných zakázek.
Javascriptová knihovna jQuery (Wikipedie) oslavila 20. narozeniny, John Resig ji představil v lednu 2006 na newyorském BarCampu. Při této příležitosti byla vydána nová major verze 4.0.0.
Singularity je rootkit ve formě jaderného modulu (Linux Kernel Module), s otevřeným zdrojovým kódem dostupným pod licencí MIT. Tento rootkit je určený pro moderní linuxová jádra 6.x a poskytuje své 'komplexní skryté funkce' prostřednictvím hookingu systémových volání pomocí ftrace. Pro nadšence je k dispozici podrobnější popis rootkitu na blogu autora, případně v článku na LWN.net. Projekt je zamýšlen jako pomůcka pro bezpečnostní experty a výzkumníky, takže instalujte pouze na vlastní nebezpečí a raději pouze do vlastních strojů 😉.
Iconify je seznam a galerie kolekcí vektorových open-source ikon, ke stažení je přes 275000 ikon z více jak dvou set sad. Tento rovněž open-source projekt dává vývojářům k dispozici i API pro snadnou integraci svobodných ikon do jejich projektů.
Dle plánu certifikační autorita Let's Encrypt nově vydává také certifikáty s šestidenní platností (160 hodin) s možností vystavit je na IP adresu.
V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 14.0 (Mastodon). Forgejo je fork Gitei.
Just the Browser je projekt, 'který vám pomůže v internetovém prohlížeči deaktivovat funkce umělé inteligence, telemetrii, sponzorovaný obsah, integraci produktů a další nepříjemnosti' (repozitář na GitHubu). Využívá k tomu skrytá nastavení ve webových prohlížečích, určená původně pro firmy a organizace ('enterprise policies'). Pod linuxem je skriptem pro automatickou úpravu nastavení prozatím podporován pouze prohlížeč Firefox.
Svobodný multiplatformní herní engine Bevy napsaný v Rustu byl vydán ve verzi 0.18. Díky 174 přispěvatelům.
Začleňovací okno 3.14 je stále otevřené, takže prozatím nejsou žádné vývojové verze.
Stabilní aktualizace: verze 3.12.9 a 3.10.28 byly vydány 25. ledna. 29. ledna následovaly verze 3.13.1 a 3.4.78.
Pokud většina oopsů, které dekódujete, je z vašeho vlastního stroje s vaším vlastním jádram, pak byste při psaní kódu měli být opatrnější. A ani to nemyslím jako srandu.
Jelikož už nějakou dobu používám tmpfs jako cíl pro sestavování, tak toto občasně zažívám, a potají ve mně roste pocit trpkého zklamání z linuxového jádra, který se rozvíjí až v hnusení se sama sebe, a došlo to až do bodu, kdy mi bootování do win8 přišlo jako útěcha poté, co jsem se 45 minut díval na zasekávající se systém, zatímco jsem měnil oddíly na disku, abych měl místo pro steamos. Tomu se říká ironie. Nějakou chvíli jsem pak musel setrvat ve fetální poloze. Měl jsem krizi.
-- Tejun Heo
Možná bychom mohli vygenerovat i nejběžnější varianty jako:
#define PERM__rw_r__r__ 0644 #define PERM__r________ 0400 #define PERM__r__r__r__ 0444 #define PERM__r_xr_xr_x 0555
-- Ingo Molnar nahrazuje S_IRUG0 a spol.
Přetečení bufferů jsou už dlouho zdrojem závažných chyb a bezpečnostních problémů na všech úrovních softwaru. Do odstranění nebezpečných knihovních funkcí bylo za roky vloženo mnoho úsilí, stejně tak do kontroly integrity zásobníku, jenže chyby kvůli přetečení bufferu se stále pravidelně objevují. Nedávno zaslaný jaderný patch je jediním z posledních kroků k tomu, aby byl dostupný nástroj, se kterým už nebudou přetečení bufferu tak běžné: nadcházející hardwarová funkce od Intelu zvaná „MPX“.
MPX je ve své podstatě mechanismus pro hlídání mezí [bounds checking] při přístupu k ukazatelům za asistence hardwaru. Hardware na základě instrukcí od softwaru udržuje tabulku používaných ukazatelů a rozsahu přístupné paměti (meze) každého z nich. Kdykoliv je ukazatel dereferencován, tak je možné použít speciální instrukce pro to, aby bylo jisté, že program přistupuje k paměti v rozsahu určeném pro daný ukazatel. Tyto instrukce mají být rychlé, díky čemuž bude možné provádět kontrolu mezí na produkčních systémech s minimálním dopadem na výkon.
Jak se dá očekávat, pro podporu na straně softwaru je třeba hodně práce, jelikož hardware nemůže sám od sebe vědět, jaké jsou vhodné meze pro daný ukazatel. Prvním krokem tímto směrem je doplnění podpory do kompilátoru GCC. Podpora MPX v GCC je už pokročilá a její začlenění do trunku se bude zvažovat někdy v brzké budoucnosti.
Kdykoliv je soubor zkompilován s novým příznakem -fmpx, GCC vygeneruje kód využívající možností MPX. To znamená sledování všech ukazatelů vznikajících v programu a souvisejících mezí; kdykoliv vznikne nový ukazatel, musí být vložen do tabulky mezí pro následné kontroly. Sledování mezí musí sledovat přetypování a aritmetiku ukazatelů; je přítomen i mechanismus pro „zužování“ [narrowing] mezí při vzniku ukazatele na objekt v jiném objektu (může jít například o pole ve struktuře). Rozhraní volání funkcí je změněno tak, že kdykoliv je funkci předáván ukazatel, jeho meze jsou předávány spolu s ním. Ukazatele vracené z funkcí mají také údaje o mezích.
Jakmile je tato infrastruktura hotová, tak je možné program chránit proti přístupům k paměti mimo stanovené meze. Při každém dereferencování ukazatele jsou vygenerovány přislušné instrukce, aby nejprve došlo k ověření mezí. Pro podrobnosti o tom, jak se mění generování kódu, vizte dokumentaci v jaderném patchi. Ve zkratce: nové instrukce bndcl a bndcu hlídají adresu ukazatele vůči spodní a horní mezi. Pokud instrukce uspějí, pak je ukazatel v povoleném rozsahu.
Dalším krokem je připravit libc na kontrolu mezí. Přinejmenším jde o sestavení s -fmpx, ale nejde jen o to. Jakákoliv knihovní funkce, která vytváří objekt (například malloc()), musí spolu s ukazatelem na objekt vrátit správné meze. Nakonec to bude právě libc, kdo bude zdrojem většiny informací o mezích používaných v aplikaci. Práce na glibc je už evidentně hotová a zařazená do git repozitáře glibc. Instrumentace v jiných knihovnách by také byla žádoucí, ale libc je zjevně pravým místem, kde začít.
Pak je tu ještě otázka toho, dostat potřebný podpůrný kód do jádra; Qiaowei Ren nedávno zaslal patch, který dělá právě toto. Součástí patche je nezbytná režie okolo správy: umožnit aplikacím nastavit tabulky s mezemi, odstranit tabulky při odmapování dané paměti z procesu a tak dále. Většina práce je ale zaměřená na rozhraní pro uživatelský prostor.
Prvním krokem je přidání dvou nových voleb pro prctl(): PR_MPX_INIT a PR_MPX_RELEASE. První z nich připraví kontrolu MPX a zapne tuto funkci, zatímco druhá zase vše uklidí. Aplikace tedy mohou explicitně řídit kontrolu mezí ukazatelů, ale to se neočekává. Namísto toho to bude nejspíše runtime systému, kdo zapne MPX při startování aplikace, dříve než dojde ke spuštění aplikace jako takové. Na mailing listu linux-kernel probíhá debata o tom, že by mohlo být možné celý proces dělat v uživatelském prostoru, takže by tato volání prctl() nebyla nutná, proto se nakonec nemusejí do jádra dostat.
Jakmile je zjištěno překročení mezí, procesor vyvolá vyjímku v jádře (trap). Jádro ji převede na signál SIGSEGV, jenž bude doručen aplikaci, stejně jako při jiných chybných přístupech do paměti. Aplikace, které se dívají do struktury siginfo předané do obsluhy signálu, budou schopny zjistit, že se jedná o problém s mezemi tak, že porovnají hodnotu v poli si_code s novou hodnotou SEGV_BNDERR. Problémová adresa bude uložena v si_addr a užité meze budou v si_lower a si_upper. Většina progamů ale samozřejmě nebude SIGSEGV vůbec ošetřovat a v této situaci zkrátka zhavarují.
Abychom to shrnuli: pro zpřístupnění této hardwarové funkce aplikacím je potřeba docela dost práce. Dobrou zprávou je, že tato práce je vesměs hotova. Používání MPX v jádře by také mělo být možné, ale zatím pro toto nebyly zaslány žádné patche. Přidávání kontroly mezí do jádra, aniž by došlo k rozbití kódu, by s sebou pravděpodobně neslo své vlastní komplikace; například by muselo docházet k opaku zužování při použití makra container_of() – a v jádře jsou volání container_of() tisíce. Hledání způsobů, jak instrumentovat jádro, by proto bylo zrádné; jak to udělat, aniž by v jádře vznikl jeden velký zmatek, by pak bylo ještě těžší. Ale kdyby se to někomu povedlo, přínos by byl nezvratný.
Kdokoliv, kdo se na MPX těší, si ale ještě musí na pár věcí počkat: hardware, který tuto funkci doopravdy podporuje, a distribuce, které ji využívají. MPX je zjevně součástí architektury Intel „Skylake“, která nebude komerčně dostupná dříve než v roce 2015. Proto bude potřeba si na dostupnost na trhu počkat. Než se tak ale stane, Linux by měl být připraven této funkčnosti využít.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
18.2.2014 04:29
Marián Kyral | skóre: 29
| blog: Sem_Tam
| Frýdek-Místek
18.2.2014 09:50
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
18.2.2014 18:13
Drom | skóre: 24
| Kdyne
20.2.2014 11:01
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
18.2.2014 20:51
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
Ja som si hned spomenul na segmentaciu. Nie je to v podstate ona s tym, ze kazda premenna je novy segment?
S tim MPX pujdou jeste delat zajimave veci+1, mohly by toho využívat překladače / VM / interpretery vyšších jazyků, kde se bounds checking provádí vždy. Nedělá tohle třeba python? JS? Případně další.
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz